BAN CƠ YẾU CHÍNH PHỦ
ỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

BÁO CÁO
NGHIÊN CỨU KỸ THUẬT PHÂN TÍCH
GÓI TIN CHỨA MÃ ĐỘC
Ngành: Công nghệ thông tin
Chuyên ngành: An toàn thông tin
Học phần: thu thập và phân tích thông tin an ninh mạng
Sinh viên thực hiện:
Đỗ Đức Thành
Lê Thị Thanh Phương
Nguyễn Văn Nghĩa
Trần Đăng Mạnh
Phạm Đình Thương
Người hướng dẫn:
Cô: Nguyễn Thị Hồng Hà
Khoa ATTT – Học viện Kỹ thuật mật mã

Hà Nội, 2018
1


MỤC LỤC

DANH MỤC HÌNH VẼ

2



độc không còn là điều xa lạ với hầu hết mọi người. Các loại mã độc rất phong
phú và hình thức lây lan của chúng cũng ngày càng đa dạng và tinh vi hơn. Việc
phát hiện và loại bỏ mã độc cũng đòi hỏi người sử dụng phải có kiến thức cơ bản
về mã độc.
Thường thì mã độc chọn môi trường lây nhiễm với victim từ các nguồn mà
người sử dụng chủ quan hoặc chưa có sự đề phòng như: email, quảng cáo, file
download ứng dụng,... Sau khi người sử dụng click vào hoặc tiến hành tải file
thực thi về sẽ làm lây nhiễm mã độc vào hệ thống. Từ đó mã độc có thể tiến
hành các hành độc thực thi tùy thuộc vào tác dụng của chúng, có thể là đánh cắp
thông tin người sử dụng, tranh quyền kiểm soát hệ thống, làm gián đoạn hệ
thống mạng, làm tắc nghẽn mạng,...
Việc phân tích hoạt động của mã độc cho phép người dùng quan sát được
các hoạt động mà mã độc thực thi trên hệ thống sau khi nó tiến hành lây nhiễm
để từ đó có thể hiểu rõ về từng loại mã độc và tìm ra các giải pháp khắc phục,
phòng tránh.
Trong báo cáo lần này, nhóm sẽ tiến hành việc tìm hiểu về phân tích một
gói tin chứa mã độc – một loại hình lây lan khá phổ biến khi mã độc được đính
kèm vào các file ứng dụng và file thực thi. Việc phân tích sẽ giúp chúng ta quan
sát được cách hoạt động của mã độc khi mã độc được thực thi, xem xét mã độc
hoạt động ra sao, lây lan như thế nào, nó kết nối đến đâu, cài đặt những gì vào
hệ thống, tạo ra các dấu hiệu nhận dạng hiểu quả hoạt động của mã độc. Bài báo
cáo cũng nêu lên được các bước của việc phân tích một gói tin nói chung và
phân tích gói tin chứa mã độc nói riêng.

CHƯƠNG I: TỔNG QUAN VỀ PHÂN TÍCH GÓI TIN
1.1. Phân tích gói tin
4


Khái niệm: phân tích nội dung gói tin là thực hiện thanh tra, phân tích nội

Thống kê: thống kê dựa trên việc sử dụng băng thông, IP, ngày/giờ và dựa trên
giao thức (email, FTP, HTTP,...).
1.2. Phân tích giao thức

5


Phân tích giao thức thực hiện kiểm tra một hoặc nhiều trường dữ liệu trong
một giao thức, điều này rất cần thiết cho việc phân tích gói tin bởi vì việc thanh
tra gói tin cần thực hiện trên đúng cấu trúc truyền thông để có thể hiểu được nội
dung gói tin hay luồng dữ liệu.
Phân tích thông tin an ninh mạng luôn phải được chuẩn bị để có thể phân
tích nắm vững các giao thức chưa từng được công bố. hơn nữa tin tặc đôi khi
phát triển các giao thức mới tùy biến hoặc mở rộng các giao thức trước đó nhằm
giao tiếp và đưa thêm một số chức năng mới để thực hiện ý đồ của tin tặc.
Phân tích giao thức bao gồm một số phương pháp cơ bản: xác định giao
thức, giải mã nội dung giao thức, trích xuất nội dung giao thức.
1.2.1. Xác định giao thức
Hiện nay người ta sử dụng một số phương pháp chính để xác định một giao
thức:
Dựa trên thông tin nhận dạng trong đóng gói giao thức, kĩ thuật này được
thực hiện thông qua tìm kiếm các giá trị nhị phân/ thập lục phân/ ASCII phổ
biến thường được đi kèm trong một giao thức cụ thể.
Xác định giao thức thông qua cổng TCP/UDP gắn liền với các giao thức
dịch vụ quy chuẩn.
Dựa trên phân tích thông tin từ địa chỉ đích địa chỉ nguồn.
a) Dựa trên thông tin nhận dạng trong đóng gói giao thức
Hầu hết giao thức có chứa các chuỗi bit thường xuất hiện ở trong các gói
tin gắn liền với nhận dạng giao thức hay nói cách khác giao thức chứa thông tin
chỉ ra kiểu giao thức được đóng gói do vậy người phân tích có thể lợi dụng đặc

các giao thức, dịch vụ mạng. Chúng ta có thể xem danh sách này trên trang chủ
IANA. Ngoài ra, trong các hệ thống UNIX/LINUX cũng lưu trữ danh sách này
trong thư mục /etc/.
Tuy nhiên xác định giao thức dựa trên các cổng giao thức TCP/UDP có
nhược điểm là không phải lúc nào cũng đưa ra kết quả chính xác, bởi vì phía
máy chủ có thể cấu hình để sử dụng các cổng không quy chuẩn cho một dịch vụ
xác định.

hình 1.3: Giao thức sử dụng trong gói tin UDP
c) Phân tích thông tin từ địa chỉ nguồn, địa chỉ đích
Thông thường, tên máy chủ và các dịch vụ nó cung cấp có thể xác định các
giao thức sử dụng, cũng như thông tin hữu ích liên quan. Như ví dụ trong hình
1.3 chúng ta chưa xác định các giao thức nào sử dụng mặc dù Wireshark xác
định nhầm giao thức được sử dụng là SSL. Chúng ta có thể phân tích thông tin
từ địa chỉ IP sẽ giúp chúng ta tìm ra giao thức thật sự ở bên trong. Ở đây địa chỉ
nguồn là “64.12.24.50”, chúng ta sử dụng WHOIS để khai thác thông tin về địa
chỉ IP này như dưới đây

8


hình 1.4: công cụ WHOIS khai thác địa chỉ IP

-

Thông tin WHOIS cung cấp cho thấy địa chỉ này thuộc về tổ chức America
Online Inc và chúng ta có thể giả thiết rằng gói tin này thuộc về luồng dữ liệu sử
dụng giao thức được hỗ trợ bởi các dịch vụ AOL ví dụ như HTTP hoặc AIM.
1.2.2.
Giải mã nội dung giao thức

$ tshark -r evidence . pcap -X lua_script : oft-tsk . lua -R “oft” -n -R
frame . number==112 -V
Frame 112 (310 bytes on wrie , 310 bytes captured
…
Oscar File Transfer Protocol (256)
Version : 0FT2
Length : 256
Type : Prompt (0x0101)
Cookie : 0000000000000000
Encryption : None (0)
Compression : None (0)
Total File(s) : 1
File(s) Left : 1
Total Parts : 1
Parts Left : 1
Total Size : 12008
Size : 12008
Modification Time : 0
Checksum : 0xb1640000
Received Resource Fork Checksumm : 0xffff 0000
Ressource Fork : 0
Creation Time Resource Fork Checksum, base : 0xffff0000
Bytes Received: 0
Received Checksum : 0xffff0000
Identification string : Cool Filex fer
Flags : 0x00
List Name Offset : 0
List Size Offset : 0
Dummy Block 0000000000000000000000000000000000000000…
Mac File Information:

$ tshark -r evidence01.pcap -d tcp.por t == 443 , aim -T fields -n -e
“aim.messeageblock.mesage”
Here’s the secret recipe. . . I just download it from the file server.
Just
coppy to a thump drive and you’re good to go > ; : =)
12


<HTML>
<BODY>
thanks
dude</FONT>
</BODY>
</HTML>
<HTML>
<BODY>
<FONT FACE=\”Arial\” SIZE=2 COLOR=#000000>can’t wait to sell it
on ebay</FONT>
</BODY>
</HTML>
see you in hawaii!
Thông tin trong đoạn hội thoại sẽ cho biết nội dung tra đổi giữa hai bên và
những thông tin này sẽ có ích cho việc phân tích sau này.
1.3.3. Lọc chọn gói tin
Lọc gói tin thực hiện tách các gói tin dựa trên các giá trị của các trường
trong giao thức. Thông thường lọc chọn các gói tin bằng cách sử dụng bộ lọc
BPF hoặc bộ lọc hiển thị Wireshark.

14


hình 1.7: Nội dung trong gói tin được lọc chọn

15


CHƯƠNG II: TẤN CÔNG SỬ DỤNG MÃ ĐỘC
2.1. Tổng quan về mã độc
2.1.1. Khái niệm
Mã độc là một khái niệm chung dùng để chỉ các phần mềm độc hại được
viết với mục đích có thể lây lan phát tán (hoặc không lây lan, phát tán) trên hệ
thống máy tính và internet, nhằm thực hiện các hành vi bất hợp pháp nhằm vào
người dùng cá nhân, cơ quan, tổ chức. Thực hiện các hành vi chuộc lợi cá nhân,
kinh tế, chính trị hoặc đơn giản là để thỏa mãn ý tưởng và sở thích của người
viết.
2.1.2. Phân loại và đặc tính của mã độc
Tuỳ thuộc vào cơ chế, hình thức tấn côngvà phương pháp phá hoại mà
người ta phân biệt mã độc thành nhiều loại khác nhau: virus, trojan, backdoor,
adware, spyware… Đặc điểm chung của mã độc là thực hiện các hành vi không
hợp pháp (hoặc có thể hợp pháp, ví dụ như các addon quảng cáo được thực thi
một cách hợp pháp trên máy tính người dùng) nhưng không theo ý muốn của
người sử dụng máy tính. Dưới đây chúng ta sẽ phân loại các mã độc theo các
hành vi nguy hiểm mà nó thường xuyên thực hiện:
•

Trojan: đặc tính phá hoại máy tính, thực hiện các hành vi phá hoại như: xoá
file, làm đổ vỡ các chương trình thông thường, ngăn chặn người dùng kết nối
internet…

trình lây lan được thực hiện qua hành vi lây file. Ngoài ra, virus cũng có thể thực
hiện các hành vi phá hoại, lấy cắp thông tin…

•

Rootkit: là một kỹ thuật cho phép phần mềm có khả năng che giấu danh tính
của bản thân nó trong hệ thống, các phần mềm antivirus từ đó nó có thể hỗ trợ
các module khác lây nhiễm, khai thác hệ thống.
2.2. Tấn công sử dụng mã độc
2.2.1. Cấu trúc PE file
Một bước rất quan trọng khi tìm hiểu về mã độc là tìm hiểu về file PE vì
gần như mọi mã thực thi được nạp bởi Windows đều có định dạng PE. Đây là
dạng phổ biến bậc nhất của Malware và cũng là định dạng hay bị tấn côngmã
độc nhất.
Định dạng file PE được dùng cho những file thực thi, mã đối tượng và các
DLL của Windows. Định dạng này là một cấu trúc dữ liệu bao gồm thông tin
cần thiết để Windows OS Loader quản lý được mã thực thi trong nó.
Để có thể thực thi trên máy tính, nội dung file PE được chia thành các
thành phần và có mối liên hệ mật thiết với nhau. Nắm rõ cấu trúc PE sẽ giúp
chúng ta hiểu được cơ chế thực thi của một phần mềm, từ việc tổ chức tới việc
nạp lên bộ nhớ, các tài nguyên sử dụng…
Hơn nữa, khi chúng ta muốn sửa đổi một file, ví dụ như thêm vào một số
đoạn mã, chỉnh sửa một số thành phần nhưng vẫn muốn phần mềm thực thi bình
thường, ví dụ trong trường hợp cần chỉnh sửa các công cụ phân tích để tránh bị
phát hiện bởi Malware thì chúng ta cần phải nắm rõ cấu trúc PE file cũng như
mối liên hệ giữa các thành phần trong file để có thể nhanh chóng thay đổi file và
thoả mãn yêu cầu đề ra mà không ảnh hưởng tới chức năng cũng như hoạt động
của file.
Mặt khác, đối với các Malware sử dụng kỹ thuật tiêm mã vào các tiền trình
17

nạp pin qua công USB lại rất tiện dụng, điều này tiềm ẩn nguy cơ rất lớn cho
việc lây truyền Malware.
Một số dạng tấn công điển hình qua USB:
-

Lợi dụng chức năng Autorun

Khi thiết bị lưu trữ có sử dụng giao tiếp USB được cắm vào máy tính đã
nhiễm Malware, Malware sẽ phát hiện ra thiết bị có thể tấn côngđược, sau đó tự
sao chép bản thân mình vào một vị trí bí mật trên thiết bị đó. Tiếp theo, nó ghi
một file autorun.inf có nội dung cơ bản như sau:
[Autorun]
OPEN=Đường dẫn virus trong đĩa USB
Từ Windows Vista trở về trước, Windows sẽ mặc nhiên kiểm tra tập tin
autorun.inf trong các thiết bị USB và thực thi các câu lệnh có trong đó.
- Đánh lừa người dùng
Trong nhiều trường hợp, các tấn công sử dụng tập tin Autorun không hiệu
quả, ví dụ như từ hệ điều hành Windows 7 trở về sau, chức năng này không
còn động nữa. Malware chuyển sang sử dụng cách đánh lừa người dùng để thực
thi file mã độc đã tấn côngtrên thẻ nhớ USB. Có thể kể đến như:
•

Ẩn thư mục trên USB và thay vào đó là các tập tin Malware có
hình thư mục với tên tương tự các thư mục tồn tại ban đầu.
Với cách này, Malware dễ dàng lừa được người dùng khởi
chạy nó nếu trên hệ thống đang tắt.

chức năng hiển thị file ẩn và phần mở rộng file.
19


Khi truy cập các trang web, hệ thống có thể bị nhiễm mã độc bất kỳ lúc
nào, nhất là khi truy cập vào các trang không đáng tin cậy. Điều này có thể xảy
ra ngày cả khi chúng ta chỉ mở trang web, vì các trình duyệt, đặc biệt là các
thành phần của trình được phát triển bởi hãng thứ 3 (plugin) ẩn chứa rất nhiều
nguy cơ mất an toàn. Malware có thể lợi dụng những lỗ hổng này để tấn công
vào hệ thống.
Khi mà thư được sử dụng ngày càng rộng rãi thì đây là một nguồn tấn
côngrất hiệu quả. Khi đã tấn côngvào máy nạn nhân, Malware có thể tự tìm ra
danh sách các địa chỉ thư điện tử trong máy tính và nó tự gửi đi hàng loạt những
20


thư đánh lừa được đính kèm bản thân nó hoặc các liên kết chứa mã độc. Khi
người nhận không phát hiện ra thư bị nhiễm Malware thì khả năng cao sẽ bị
nhiễm mã độc vào máy và từ máy này Malware lại tiếp tục lây nhiễm. Chính vì
vậy, số lượng phát tán Malware có thể theo cấp số nhân khiến trong thời gian
ngắn hàng triệu máy tính có thể bị lây nhiễm.
Ngày nay, khi phần mềm quản lý thư điện tử kết hợp với phần mềm diệt
Malware có thể khắc phục được hành động tự nhân bản hàng loạt để phát tán
qua các địa chỉ thư điện tử trong danh bạ máy tính thì chủ nhân Malware có thể
chuyển qua hình thức tự gửi thư phát tán Malware bằng các nguồn địa chỉ sưu
tập được, các địa chỉ này cũng có thể là của chính Malware đó gửi về.
Phương thức tấn công qua thư điện tử bao gồm:
-

Tấn công vào các file đính kèm: Với cách này, người dùng sẽ không bị
nhiễm mã độc đến khi phần mềm đính kèm đó được kích hoạt. Malware
cũng không dại gì chỉ gửi đúng mã độc của mình, mà chúng thường ẩn
dưới bỏ bọc là các phần mềm miễn phí hay những phần mềm có nội
dung nhạy cảm.

thi hoặc chứa đoạn lệnh nguy hiểm mà mã độc hay lợi dụng:

Các phần mềm
EXE – Executable File: Một phần mềm có khả năng thực thi, hầu hết các
phần mềm chạy trên Windows là định dạng này.
PIF – Program Information File: Một tập tin thông tin phần mềm cho các
phần mềm MS-DOS. Bình thường các file .PIF không chứa mã thực thi, nhưng
khi nó chứa mã thực thi thì Windows sẽ xử lý như các tập tin EXE.
APPLICATION: Định dạng cài đặt ứng dụng triển khai với công nghệ
Microsoft’s ClickOnc
GADGET: Một tập tin tiện ích trên màn hình Windows, công nghệ này
được giới thiệu cùng Windows Vista.
MSI – Microsoft Installer File: Tập tin cài đặt ứng dụng trên Windows
MSP – Microsoft Installer Patch file: Được dùng để vá các phần mềm đã
được triển khai bởi .MSI.
COM – Command file: Tệp thực thi.
SCR: Windows screen saver.
HTA – HTML application: Không giống như các ứng dụng chạy trong các
trình duyệt HTML, các file .hta chạy như các ứng dụng đáng tin cậy mà không
bị cô lập.
CPL – Control Panel file: Tất cả các tiện ích trong Windows Control Panel
đều có dạng .CPL.
MSC – Microsoft Management Console file: Các ứng dụng dạng này như
ứng dụng quản lý chính sách cho nhóm hay công cụ quản lý ổ đĩa.
JAR – executable Java code: Nếu chúng ta đã cài đặt Java runtime trên hệ
thống thì, các tập tin dạng .JAR sẽ chạy như một phần mềm (tương tự dạng
exe).
22



sẽ được thêm vào hoặc gỡ bỏ nếu chạy chúng. Một tập tin REG độc hại có thể
23


loại bỏ các thông tin quan trọng từ registry, thay thế nó bằng các dữ liệu rác,
hoặc thêm dữ liệu độc hại hay tạo khóa khởi động cho Malware
.DOC, .XLS, .PPT – Microsoft Word, Excel, PowerPoint: Chúng có thể
chứa mã độc dạng Macro, hoặc mã độc lợi dụng lỗ hổng của MS-Offic
.DOCM, .DOTM, .XLSM, .XLTM, .XLAM, .PPTM, .POTM, .PPAM,
.PPSM, .SL
DM: Định dạng tập tin mới được giới thiệu trong Office 2007 M ở cuối
của phần mở rộng tập tin chỉ ra rằng tài liệu chứa Macros. Ví dụ, một tập tin
DOCX không chứa macro, trong khi một tập tin .DOCM có thể chứa các macro.

24